Overheidsorganisaties hebben hun digitale veiligheid niet in alle gevallen op orde en kunnen die veiligheid daardoor niet waarborgen. Dat staat in het rapport van de Onderzoeksraad voor Veiligheid, dat vandaag is gepubliceerd naar aanleiding van het ‘DigiNotar-incident’. Volgens de onderzoekers maakte de inbraak bij DigiNotar in de zomer van 2011 duidelijk dat de Nederlandse overheid niet was voorbereid op een aantasting van zijn digitale veiligheid.
Door de inbraak ontstond het risico dat gegevens van burgers en bedrijven onderschept zouden worden en mogelijk misbruikt. Ondanks de ernst van de situatie bleek dat niet snel kon worden overgeschakeld op een andere leverancier zonder dat de continuïteit van diverse essentiële gegevensstromen met en binnen de overheid ernstig in gevaar zou komen. Uiteindelijk heeft de overheid er maanden over gedaan om alle DigiNotar-certificaten te vervangen.
De Onderzoeksraad voor Veiligheid heeft zich gericht op de vraag hoe overheidsorganisaties digitale veiligheid bestuurlijk-organisatorisch waarborgen. Hiertoe is onder meer het handelen onderzocht van de betrokken partijen naar aanleiding van de inbraak bij DigiNotar. Het onderzoek heeft zich niet gericht op de technische specificaties van de veiligheid bij DigiNotar en ook de inbraak zelf blijft buiten beschouwing.
PKIoverheid-certificaten
De inbraak bij DigiNotar kon zulke verstrekkende gevolgen hebben omdat overheidsorganisaties niet hadden geanticipeerd op de mogelijkheid dat een certificaatdienstverlener onbetrouwbaar zou worden, stellen de onderzoekers.
Verder concludeert de Onderzoeksraad dat PKIoverheid-certificaten, die bestemd zijn voor overheidsorganisaties, door de manier waarop ze nu gebruikt worden te weinig toegevoegde waarde hebben ten opzichte van andere certificaten. Dat komt omdat de rijksoverheid zichzelf op grote afstand heeft geplaatst en zelf weinig controleert of de regels worden nageleefd.
Ook bij de onderzochte gemeenten blijkt sprake van een gebrekkig inzicht in de risico’s die digitale veiligheid bedreigen. Het risicobewustzijn is voornamelijk aanwezig bij de ICT-afdeling en nauwelijks bij de top van de ambtelijke organisatie of het college van burgemeester en wethouders.
Deze posting is gelocked. Reageren is niet meer mogelijk.